Forsa-Umfrage zu Cyberrisiken: IT-Sicherheit vieler deutscher Unternehmen ist mangelhaft
Sowohl der technische als auch der organisatorische Schutz zahlreicher mittelständischer Unternehmen zeigt gefährliche Sicherheitslücken.
Trotz zunehmender Cyberbedrohungen vernachlässigen viele mittelständische Unternehmen grundlegende Schutzmaßnahmen. Das zeigt eine aktuelle Forsa-Umfrage im Auftrag des Gesamtverbandes der Deutschen Versicherungswirtschaft (GDV): Zwar halten sich 77 Prozent der Befragten für ausreichend gegen Cyberangriffe gewappnet, tatsächlich erfüllen aber mehr als zwei Drittel noch nicht einmal alle Basiskriterien für IT-Sicherheit wie starke Passwörter oder regelmäßige Updates. „Die Mehrheit der Unternehmen (52 Prozent) schätzt ihre IT-Sicherheitslage besser ein, als sie tatsächlich ist“, sagt Jörg Asmussen, Hauptgeschäftsführer des GDV.
Organisatorische und technische Schwächen bleiben bestehen
Wie die Umfrage zeigt, vernachlässigen viele Unternehmen technische und organisatorische Schutzmaßnahmen. Manche Unternehmen sind bei der Datensicherung zu nachlässig, andere führen notwendige Software-Updates nicht zeitnah durch. Dadurch entstehen vermeidbare Sicherheitslücken. Besonders auffällig: 64 Prozent verzichten auf Schulungen zur Sensibilisierung ihrer Belegschaft – obwohl 68 Prozent der erfolgreichen Cyberangriffe mit einer Phishing-Mail oder einer E-Mail mit Schadsoftware starteten.
Auch auf einen erfolgreichen Angriff sind viele nicht vorbereitet. „Jedes zweite Unternehmen (48 Prozent) hat für den Ernstfall keinerlei Notfallplan entwickelt“, sagt Jörg Asmussen. Dementsprechend können die Angreifer erhebliche Schäden verursachen.
Unternehmen fürchten Cyber-Katastrophe und setzen auf den Staat als Retter
Gleichzeitig zeigt die Umfrage eine weit verbreitete Sorge vor einem großflächigen Cyberangriff: 89 Prozent der befragten Unternehmen halten es für wahrscheinlich, dass eine gezielte Attacke auf Schlüsselunternehmen der deutschen Wirtschaft zu massiven volkswirtschaftlichen Schäden führen könnte, etwa durch den Ausfall kritischer Infrastruktur oder zentraler Lieferketten. Nur eine Minderheit glaubt, dass Wirtschaft (31 Prozent) oder Behörden (29 Prozent) auf einen solchen Angriff vorbereitet seien.
Trotzdem sind die Erwartungen an staatliche Stellen hoch: Über die Strafverfolgung und Aufklärung hinaus sehen 73 Prozent der Befragten es als Aufgabe des Staates, in einer Cyber-Katastrophe technische Hilfe zu leisten. 57 Prozent sehen den Staat sogar in der Pflicht, betroffenen Unternehmen finanziell zu helfen. „Die hohe Erwartungshaltung an den Staat steht in scharfem Kontrast zur mangelhaften Cybersicherheit vieler Unternehmen“, sagt Asmussen.
Hintergrund zur Umfrage
Im Rahmen seiner Initiative CyberSicher beauftragt der GDV die Forsa Gesellschaft für Sozialforschung und statistische Analysen mbH seit 2018 jährlich mit einer repräsentativen Befragung von 300 Entscheidern und IT-Verantwortlichen von kleinen und mittleren Unternehmen zu ihrer Wahrnehmung von Cyberrisken und den IT-Sicherheitsmaßnahmen der Unternehmen.